De vernieuwde Ondersteunende Software Verkiezingen (OSV2020) heeft een beveiligingstest door een securitybedrijf doorstaan. Er zijn geen grote kwetsbaarheden of risico's in de software aangetroffen, zo heeft de Kiesraad vandaag bekendgemaakt. Ook voldoet het programma aan de in de wet- en regelgeving opgenomen eisen.

De OSV wordt al ruim tien jaar gebruikt bij het berekenen en vaststellen van de verkiezingsuitslagen in Nederland. Het programma OSV2020 is recent technisch vernieuwd. De Kiesraad besloot de beveiliging van de software te laten testen door securitybedrijf Hackdefense, terwijl Expleo toetste of het programma aan de opgenomen eisen voldoet.

De onderzoekers van Hackdefense zijn over het geheel genomen positief over de beveiliging van de applicatie. "Er is duidelijk aandacht besteed aan de veiligheid, en vrijwel alle kritiekpunten uit eerdere testrapporten en onderzoeken blijken te zijn opgelost", zo laten ze in het rapport van de beveiligingstest weten (pdf). Wel hebben ze zestien aanvullende aanbevelingen.

Zo wordt aangeraden om geen standaardwachtwoord te gebruiken, ook niet als dit bij het eerste gebruik moet worden aangepast. Verder wordt geadviseerd om sessies van geblokkeerde gebruikers te beëindigen en de beveiliging van de EML-bestanden te verhogen. De Kiesraad zegt dat het de aanbevelingen meeneemt in de doorontwikkeling van de software voor de Tweede Kamerverkiezing in 2021. Ook laat de Kiesraad de beveiliging na de doorontwikkeling opnieuw onderzoeken.

Eisen

De Kiesraad schakelde Expleo in om vast te stellen of de OSV2020 voldoet aan de in de wet- en regelgeving opgenomen eisen. Ook de onderzoekers van Expleo zijn positief. Bij het testen van de functionaliteit voor de berekening van de verkiezingsuitslag en de bijbehorende zetelverdeling zijn er geen onvolkomenheden tegengekomen.

Wel doet Expleo verschillende aanbevelingen, onder andere op het vlak van de authenticiteit van aangeleverde gegevens. "De controle van authenticiteit van in te lezen gegevens wordt aan de gebruiker gevraagd waarbij onvoldoende wordt afgedwongen dat daadwerkelijke controle plaatsvindt", aldus de onderzoekers. Aangemaakte tellingsbestanden kunnen zonder controle van de hashcode worden ingelezen. Dit is een klein gebrek, zo stelt Expleo, maar kan worden opgelost door de gebruiker een deel van de hashcode in te laten invullen.

Afsluitend stelt de Kiesraad dat gemeenten die OSV2020 gebruiken voor het vaststellen van de uitslag, zich moeten houden aan de voorwaarden voor het gebruik van de software. Iets waar Hackdefense bij de beoordeling van de software van uitging. Zo mag de software alleen worden gebruikt in een geïsoleerde omgeving zonder verbinding met andere netwerken en zonder fysieke of logische toegang voor onbevoegden tot de server. Deze vereisten zijn ook in de gebruikersvoorwaarden opgenomen.